Ransomware-attack mot Tata Technologies

Tata Technologies, ett dotterbolag till den indiska multinationella koncernen Tata, har enligt uppgift blivit offer för ransomwaregruppen Hunters International. Angriparna påstår sig ha stulit 1,4 TB data—över 730 000 filer—och hotar att offentliggöra dem nästa måndag om inte en lösensumma betalas. De har dock ännu inte avslöjat det begärda beloppet eller lämnat bevis på den stulna informationen.

Tata Technologies, ett företag inom produktutveckling under Tata Motors, rapporterade tidigare om en ransomware-attack i januari. Företaget har sedan dess återställt sina IT-tjänster och försäkrar att kundernas verksamhet inte har påverkats.

Hunters International tros vara en omprofilering av den ökända Hive-gruppen, som har en historia av att attackera stora organisationer, inklusive Industrial and Commercial Bank of China. Hive attackerade tidigare Tata Power 2022 och läckte stulna data efter att lösensumman inte betalades.

Denna attack belyser de fortsatta cyberhoten mot globala företag och understryker vikten av starkare säkerhetsåtgärder.

Djupare kopplingar mellan Black Basta och Cactus ransomware

Ny forskning har avslöjat starkare kopplingar mellan ransomwaregrupperna Black Basta och Cactus, då båda använder samma sociala ingenjörstaktik och proxy-malware BackConnect för att få tillgång till komprometterade system.

BackConnect, ett proxiverktyg för att dölja nätverkstrafik och undvika upptäckt, kopplades först till Black Basta genom dess anslutning till Zloader och Qbot. Men en nyligen genomförd dataläcka avslöjade interna konversationer mellan ledaren för Black Basta och en misstänkt utvecklare av Qbot, vilket stärker kopplingarna.

En ny rapport från Trend Micro kopplar nu även Cactus ransomware till BackConnect, vilket tyder på en möjlig överlappning mellan medlemmarna i de två grupperna. Båda grupperna har använt massutskick av e-postmeddelanden, följt av att utge sig för att vara IT-support via Microsoft Teams för att få fjärråtkomst.

Historiskt sett har Black Basta använt Qbot för att få tillgång till företagsnätverk, men efter att Qbot togs ner 2023, har gruppen börjat använda BackConnect, vilket tyder på en fortsatt koppling till samma utvecklare av skadlig programvara.

Nytt botnät Eleven11bot infekterar över 86 000 IoT-enheter

Ett nytt botnät, kallat Eleven11bot, har infekterat över 86 000 IoT-enheter, främst säkerhetskameror och nätverksvideobandspelare (NVR), för att utföra DDoS-attacker i stor skala. Botnätet, som tros ha kopplingar till Iran, har redan attackerat telekomleverantörer och onlinespelservrar.

Forskare vid Nokia upptäckte Eleven11bot, som har vuxit snabbt. The Shadowserver Foundation har bekräftat infektioner i USA, Storbritannien, Mexiko, Kanada och Australien. Attackvolymerna har nått hundratals miljoner paket per sekund, och attackerna har varat i flera dagar.

GreyNoise och Censys har spårat 1 400 IP-adresser kopplade till botnätet, där 96 % kommer från verkliga enheter. De flesta IP-adresserna är baserade i Iran, och hundratals har klassificerats som skadliga. Eleven11bot sprids genom att gissa svaga administratörslösenord, använda standarduppgifter för vissa IoT-enheter och skanna nätverk efter exponerade Telnet- och SSH-portar.

Experter rekommenderar att blockera kända skadliga IP-adresser, stänga av onödig fjärråtkomst, uppdatera enhetsfirmware och ersätta föråldrade IoT-enheter för att minska risken.

Storbritanniens regering föreslår ny säkerhetskod för programvara

Den brittiska regeringen utvecklar en uppförandekod för att förbättra programvarusäkerhet och digital leveranskedjans motståndskraft. Efter att ha publicerat en Call for Views on Software Resilience and Security i januari 2024, förväntas den slutliga koden att publiceras 2025.

De frivilliga åtgärderna ska fastställa en miniminivå av säkerhet för programvaruleverantörer och säkerställa en mer konsekvent standard för utveckling, distribution och underhåll. National Cyber Security Centre (NCSC) och Department for Science, Innovation and Technology (DSIT) kommer att förfina tekniska kontroller och riktlinjer innan koden offentliggörs.

För att underlätta implementering kommer ett certifierings- och tillsynssystem att införas, så att leverantörer kan visa efterlevnad genom NCSC:s Principles-Based Assurance Approach. Regeringen kommer också att kartlägga koden mot befintliga säkerhetsstandarder och ramverk.

Parlamentsledamoten Feryal Clark betonade vikten av programvarusäkerhet och varnade för att sårbar programvara kan störa verksamheter och utsätta organisationer för cyberhot.

Ny nätfiskeattack riktar sig mot flygsektorn i Förenade Arabemiraten

Hotjägare har upptäckt en högst riktad nätfiskekampanj som riktade sig mot färre än fem organisationer i Förenade Arabemiraten (UAE), där en tidigare okänd bakdörr i Golang, kallad Sosano, installerades.

Kampanjen, som Proofpoint spårar under namnet UNK_CraftyCamel, riktade sig mot flygindustrin och satellitkommunikationsföretag. Angriparna komprometterade ett indiskt elektronikföretags e-postkonto och skickade skadliga nätfiskemejl med ZIP-filer. Dessa filer innehöll polygotta PDF- och XLS-dokument, som till slut installerade Sosano-bakdörren.

Sosano ger angriparna möjlighet att ändra kataloger, lista filer, ladda ner skadliga program, köra kommandon och radera mappar. Proofpoint har inte funnit några kopplingar till kända hotaktörer, men misstänker att en iransk-aligned grupp, potentiellt kopplad till Islamiska revolutionsgardet (IRGC), ligger bakom attacken.

Denna operation visar på den avancerade taktiken hos statsstödda hotaktörer, som använder pålitliga tredje parter och förtäckt skadlig kod för att undvika upptäckt och angripa kritisk infrastruktur i UAE.

If you are worried about any of the threats outlined in this bulletin or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager, or alternatively Get in touch to find out how you can protect your organisation. 

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.